Jump to content
Калькуляторы

Хочу одним правилом на киске закрыть доступ к 22 порту

ip access-list extended DENY_SSH
 deny   tcp any 172.17.0.0 0.0.255.255 eq 22
 permit ip any any

Для десятка sub-интерфейсов вида:

 

Скрытый текст

 

interface GigabitEthernet0/3.101

ip address 172.17.1.1 255.255.255.0

ip access-group DENY_SSH in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip ospf flood-reduction
 ntp disable
 no cdp enable

 

interface GigabitEthernet0/3.102

ip address 172.17.2.1 255.255.255.0

ip access-group DENY_SSH in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip ospf flood-reduction
 ntp disable
 no cdp enable

 

===========/////=============

 

interface GigabitEthernet0/3.111

ip address 172.17.11.1 255.255.255.0

ip access-group DENY_SSH in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip ospf flood-reduction
 ntp disable
 no cdp enable

 

 

 

 

Но по неведомой мне причине правило не работает ...

Edited by Jora_Cornev

Share this post


Link to post
Share on other sites

2 hours ago, Jora_Cornev said:

Абсурда ради я и на OUT тоже вешал, но результат тот же, не работает.

 

Я не про это , ещё есть интерфейсы на этом маршрутизаторе ?

Share this post


Link to post
Share on other sites

@Jora_Cornev если вы правило на IN вешаете, то меняйте местами source и destination, а ваше правило можете на OUT повешать
вход

ip access-list extended DENY_SSH_IN
 deny tcp 172.17.0.0 0.0.255.255 any eq 22
 permit ip any any

выход 

ip access-list extended DENY_SSH_OUT
 deny tcp any 172.17.0.0 0.0.255.255 eq 22
 permit ip any any
Edited by god_of_ethernet

Share this post


Link to post
Share on other sites

38 минут назад, god_of_ethernet сказал:

@Jora_Cornev если вы правило на IN вешаете, то меняйте местами source и destination, а ваше правило можете на OUT повешать
вход


ip access-list extended DENY_SSH_IN
 deny tcp 172.17.0.0 0.0.255.255 any eq 22
 permit ip any any

выход 


ip access-list extended DENY_SSH_OUT
 deny tcp any 172.17.0.0 0.0.255.255 eq 22
 permit ip any any
 
 

поправлю ip access-list extended DENY_SSH_OUT  deny tcp any eq 22 172.17.0.0 0.0.255.255

Edited by ikiliikkuja

Share this post


Link to post
Share on other sites

в первом посте все правильно. за исключением направления. OUT нужно. и тогда будет заблочен трафик к 22ому порту всего, что попадает в 172.17.0.0 0.0.255.255

Share this post


Link to post
Share on other sites

интересно послушать мнение общественности, какое правило меньше грузит CPU:

deny   tcp any eq 22 172.17.0.0 0.0.255.255

или

deny   tcp any 172.17.0.0 0.0.255.255 eq 22

 

15 часов назад, EvgeniySerb сказал:

Я не про это , ещё есть интерфейсы на этом маршрутизаторе ?

Есть, но они не сморят в сторону пользователей.

Share this post


Link to post
Share on other sites

11 часов назад, Jora_Cornev сказал:

интересно послушать мнение общественности, какое правило меньше грузит CPU

тут не в CPU дело, трафик на OUT это будут ответы от ssh сервера к хостам, следовательно надо матчить 22 порт с source.ip @ikiliikkuja  все правильно подметил.

Share this post


Link to post
Share on other sites

7206 NPE-G2

 

5 часов назад, zhenya` сказал:

может ацл на нем вовсе не грузит цпу

Вопрос конечно больше теоретический, цель которого сделать всё по фэншую

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.